- عنوان کتاب: ISO/IEC 15408-2 / Information security, cybersecurity and privacy protection — Evaluation criteria for IT security — Part 2: Security functional components
- نویسنده: ISO/IEC
- حوزه: آزمون نرم افزار
- سال انتشار: 2022
- تعداد صفحه: 292
- زبان اصلی: انگلیسی
- نوع فایل: pdf
- حجم فایل: 24.7 مگابایت
اجزای عملکردی امنیتی، همانطور که در این سند تعریف شده است، مبنای الزامات عملکردی امنیتی (SFR) یا اجزای بیان شده در یک نمایه حفاظتی (PP)، ماژول PP، بسته عملکردی یا یک هدف امنیتی (ST) هستند. این الزامات رفتار امنیتی مورد انتظاری را که از یک هدف ارزیابی (TOE) انتظار می رود، توصیف می کند و برای برآوردن اهداف امنیتی همانطور که در یک PP، PP-Module، بسته عملکردی یا ST در نظر گرفته شده است، در نظر گرفته شده است. این الزامات ویژگیهای امنیتی را توصیف میکنند که کاربران میتوانند با تعامل مستقیم (یعنی ورودیها، خروجیها) با فناوری اطلاعات یا با پاسخ IT به محرک شناسایی کنند. اجزای عملکردی امنیتی امکان بیان SFRهایی را که برای مقابله با تهدیدات در محیط عملیاتی مفروض TOE و/یا پوشش هر خط مشی امنیتی سازمانی شناسایی شده در نظر گرفته شده است را فراهم می کند. مخاطبان این سند شامل مصرف کنندگان، توسعه دهندگان و ارزیابی کنندگان محصولات ایمن فناوری اطلاعات هستند. ISO/IEC 15408-1:2022، 5.2، اطلاعات بیشتری را در مورد مخاطبان هدف سری ISO/IEC 15408، و در مورد استفاده از سری ISO/IEC 15408 توسط گروه هایی که مخاطبان هدف را تشکیل می دهند، ارائه می دهد. این گروه ها از این سند به صورت زیر استفاده می کنند: الف) مصرف کنندگانی که از این سند هنگام انتخاب اجزایی برای بیان الزامات عملکردی استفاده می کنند که اهداف امنیتی بیان شده در یک PP، PP-Module، بسته عملکردی یا ST را برآورده می کند. ISO/IEC 15408-1:20—، بند 7، اطلاعات دقیق تری در مورد رابطه بین اهداف امنیتی و الزامات امنیتی ارائه می دهد. ب) توسعه دهندگانی که در ساخت TOE به الزامات امنیتی واقعی یا درک شده مصرف کننده پاسخ می دهند، یک روش استاندارد برای درک این الزامات در این سند پیدا خواهند کرد. آنها همچنین از محتویات این سند به عنوان مبنایی برای تعریف بیشتر عملکرد امنیتی TOE و مکانیسم هایی که با این الزامات مطابقت دارند استفاده می کنند. ج) ارزیابیکنندگانی که از SFRهای تعریفشده در این سند برای تأیید اینکه الزامات عملکردی TOE بیان شده در PP، PP-Module، بسته عملکردی یا ST، اهداف امنیتی فناوری اطلاعات را برآورده میکنند و اینکه همه وابستگیها حساب شده و برآورده شدهاند، استفاده میکنند. ارزیابان از این سند برای کمک به تعیین اینکه آیا یک TOE معین الزامات اعلام شده را برآورده می کند استفاده می کنند. توجه: این سند در برخی موارد از حروف برجسته و ایتالیک برای تشخیص عبارات از بقیه متن استفاده می کند. رابطه بین اجزای یک خانواده با استفاده از یک قرارداد پررنگ برجسته می شود. این کنوانسیون استفاده از حروف درشت را برای همه الزامات جدید می طلبد. برای مؤلفههای سلسله مراتبی، الزامات زمانی با حروف پررنگ ارائه میشوند که فراتر از الزامات مؤلفه قبلی بهبود یابند. علاوه بر این، هرگونه عملیات مجاز جدید یا پیشرفته فراتر از مؤلفه قبلی نیز با استفاده از تایپ پررنگ برجسته می شود. استفاده از حروف کج بیانگر متنی است که معنای دقیقی دارد. برای الزامات تضمین امنیت، این قرارداد برای افعال ویژه مربوط به ارزیابی است.
Security functional components, as defined in this document, are the basis for the security functional requirements (SFRs) or components expressed in a Protection Profile (PP), PP-Module, functional package or a Security Target (ST). These requirements describe the desired security behaviour expected of a Target of Evaluation (TOE) and are intended to meet the security objectives as stated in a PP, PP-Module, functional package or an ST. These requirements describe security properties that users can detect by direct interaction (i.e. inputs, outputs) with the IT or by the IT response to stimulus.
Security functional components allow for the expression of SFRs intended to counter threats in the assumed operating environment of the TOE and/or cover any identified organizational security policies.
The audience for this document includes consumers, developers, and evaluators of secure IT products. ISO/IEC 15408-1:2022, 5.2, provides additional information on the target audience of the ISO/IEC 15408 series, and on the use of the ISO/IEC 15408 series by the groups that comprise the target audience. These groups use this document as follows:
a) consumers, who use this document when selecting components to express functional requirements which satisfy the security objectives expressed in a PP, PP-Module, functional package or ST. ISO/IEC 15408-1:20—, Clause 7, provides more detailed information on the relationship between security objectives and security requirements;
b) developers, who respond to actual or perceived consumer security requirements in constructing a TOE, will find a standardized method to understand those requirements in this document. They also use the contents of this document as a basis for further defining the TOE security functionality and mechanisms that conform with those requirements;
c) evaluators, who use the SFRs defined in this document in verifying that the TOE functional requirements expressed in the PP, PP-Module, functional package or ST satisfy the IT security objectives and that all dependencies are accounted for and shown to be satisfied. Evaluators use this document to assist in determining whether a given TOE satisfies stated requirements.
NOTE This document uses bold and italic type in some cases to distinguish terms from the rest of the text. The relationship between components within a family is highlighted using a bolding convention. This convention calls for the use of bold type for all new requirements. For hierarchical components, requirements are presented in bold type when they are enhanced or modified beyond the requirements of the previous component. In addition, any new or enhanced permitted operations beyond the previous component are also highlighted using bold type.
The use of italics indicates text that has a precise meaning. For security assurance requirements the convention is for special verbs relating to evaluation.
این کتاب را میتوانید از لینک زیر بصورت رایگان دانلود کنید:
Download: ISO/IEC 15408-2
نظرات کاربران